Transcript Document 7590623
ORÍGENES Y ALCANCES DEL DERECHO A LA PROTECCIÓN DE LOS DATOS PERSONALES
Dra. Isabel Davara Fdez. de Marcos
NOVIEMBRE DE 2009 TABASCO
OBJETIVO
LA PROTECCI ÓN DE LA PERSONA RESPECTO AL TRATAMIENTO Y USO DE SU INFORMACIÓN PERSONAL
PRECISIONES INICIALES
• La expresión es confusa. Los datos no necesitan protección.
• Se protege al titular de los datos • El valor de los datos de carácter personal es innegable actualmente • Las fronteras de espacio y tiempo se han visto superadas con el uso cotidiano de la tecnología .
• La tecnología aplicada al tratamiento de la información personal conforma una identidad electrónica , un perfil de la persona, que ella misma desconoce, o, cuando menos, no controla
PRECISIONES INICIALES
“Las tecnologías de la información y de la comunicación están rediseñando el mundo, las relaciones personales, sociales, políticas y económicas. Pero esta transformación tiene un precio. (…) es justamente la información la que viene a constituir ahora la materia prima más importante y que, dentro de la información, los datos personales son especialmente preciados. (…) nuestra propia vida está volviéndose hoy en día un intercambio continuo de informaciones (…) la protección de datos asume una importancia creciente, que la conduce cada vez más hacia el centro del sistema político-institucional”
Stefano Rodot à
EL DERECHO A LA AUTODETERMINACI ÓN INFORMATIVA Sentencia del Tribunal Constitucional Federal Alemán de 15 de diciembre de 1983 el titular de los datos tiene derecho a decidir cómo y para qué se tratan sus datos
“en virtud de esta evolución de los condicionamientos tecnológicos, es posible producir una imagen total y pormenorizada de la persona respectiva –un perfil de la personalidad incluso en e ámbito de su intimidad, convirtiéndose así el ciudadano en «hombre de cristal»”
DERECHO A LA PROTECCI ÓN DE DATOS
Derecho fundamental Derecho subjetivo Derecho de tercera generaci ón
La PD como derecho fundamental
El derecho a la protección de datos es efectivamente un derecho fundamental que necesita ser regulado internacionalmente, al menos conforme a unos mínimos comunes.
La propuesta de estándar Estamos proponiendo crear un instrumento que: • sea aceptado y seguido internacionalmente en su contenido y alcances; • no tenga límite de aplicación temporal; • no tenga límite de aplicación sectorial o por objetivos, sino un alcance general; • tenga mecanismos de resolución adecuados y coercitivos, nacionales e internacionales, con fuerza vinculante, en lo que quiera que eso signifique y hasta el máximo límite en el que se pueda obtener un consenso internacional.
¿Por qué el estándar?
• La consecución del estándar deviene imprescindible ya no tan sólo para solventar las diferencias entre estos dos grandes modelos o territorios, sino a nivel mundial.
• En realidad, las cuestiones entre Estados Unidos y Europa ya se han ido más o menos resolviendo, de mejor o peor manera.
• Con el resto de territorios (entre los que se incluye México), si no se cumplen los requisitos exigidos por la Unión Europea, de facto, el comercio –siempre que implique tratamiento de datos- se paraliza, o cuando menos se dificulta sobremanera.
¿Por qué el estándar?
• Un instrumento internacional que sí cumpliera con los requisitos de la normativa europea sería entendido por el régimen europeo como un “adecuado” en términos de su normativa. • En realidad este estándar daría este calificativo a quien lo implementara, pasándose luego a considerarse, en su caso, como un instrumento vinculante.
Viabilidad del estándar • La multitud y disparidad normativa, unido a la tecnificación de la sociedad, consideramos imprescindible recurrir a un tipo de leyes estandarizadas técnicamente. • Instrumento adecuadao para superar fronteras, físicas y temporales.
• Fácil adaptación a la veloz evolución técnica y garantía de neutralidad tecnológica.
El entorno del estándar • El inmenso “mercado” de la información personal se necesita organización. • La organización ya no puede venir de la soberanía estatal, ni de los gobiernos, al menos no de modo omnipotente, sino mediante la implementación de regulaciones idóneas, dúctiles y tolerantes, manteniendo los principios fundamentales de Derecho.
• En una época en la que la globalización podría parecer que conduce a la deshumanización e irrelevancia del individuo, en la práctica, los cauces de participación y decisión, directa y efectiva, son un medio para construir una sociedad más igualitaria, más ponderada, y más equilibrada.
Algunas claves para el éxito • La privacidad es muy difícil de definir, y más a nivel internacional.
• Sin embargo, el tratamiento leal y legal de la información personal es algo diferente. Parece que sobre lo que sí podemos llegar a un acuerdo es sobre qué entendemos por licitud en el tratamiento de la información personal.
• En nuestra opinión, la denominación del estándar sería más conveniente que girara en torno al concepto de información personal o datos personales, más que en torno a la privacidad.
• El derecho a la protección de datos de carácter personal es también un derecho fundamental autónomo e independiente.
Algunas interrogantes • Control de la aplicación del estándar: El concepto de soberanía nacional, tan asentado desde varios siglos atrás, se tambalea.
• Adecuación de las estructuras tradicionales de resolución judicial de conflictos (agilidad y precisión).
• Grado de aceptación por las partes implicadas.
• Factibilidad del estándar.
Necesidad de distinguir entre dos derechos • Transparencia pública y acceso a la información Derecho de acceso a la información pública • Protección de datos personales y Derechos de acceso, oposición (ARCO) rectificación, cancelación
Acceso a la información y protección de datos • No son dos derechos enfrentados • Son derechos con límites • Necesidad de ponderación y delimitación de su ámbito y contenido
Derecho de acceso a la información pública • Mandato constitucional para los tres órdenes del gobierno Federal Estatal Municipal
Derecho a la protección de datos • Mandato constitucional Federal: Proyecto de Iniciativa de Ley de Protección de Datos Personales Estatal: Colima Sólo algunos, como por ejemplo,
Transparencia y acceso a la información pública • Transparencia • Acceso a la información pública • Democratización • Otros objetivos Conocimiento y participación en la formulación de políticas públicas Mejora de los servicios públicos Vigilancia de la legalidad en los actos de la autoridad • Supervisión social del ejercicio del gasto público
Protección de datos personales • Privacidad (control por el titular del tratamiento de sus datos personales) • Impulso del comercio nacional e internacional
Fundamento constitucional (Federal) • Acceso a la información pública Artículo 6: Derecho de acceso a la información • Protección de datos personales Artículo 16: Derecho a la protección de datos personales Artículo 73: Competencia federal
Normativa sobre acceso a la información pública • Federal Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (Diario Oficial de la Federación, de 11 de junio de 2002) Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (Diario Oficial de la Federación, de 11 de junio de 2003) Lineamientos de Protección de Datos Personales (Diario Oficial de la Federación, de 30 de septiembre de 2005)
Normativa sobre acceso a la información pública • Estatal Ley de Transparencia y Acceso a la Información Pública del Estado de Tabasco (publicada en el suplemento “C” al Periódico Oficial 6723, de 10 de febrero de 2007) Reglamento de la Ley de Transparencia y Acceso a la Información Pública del Estado de Tabasco (publicado en el suplemento “D” al Periódico Oficial 6763, de 30 de junio de 2007) Lineamientos Generales para el cumplimiento de las obligaciones de transparencia de los sujetos obligados en el Estado de Tabasco (publicado en el suplemento “B” al Periódico Oficial 6846, de 16 de abril de 2008)
Sujetos obligados • Transparencia y acceso a la información pública Administración Pública del Estado de Tabasco • Protección de datos Administración Pública Sector privado
Gobierno electrónico • Facilitar la transparencia y el acceso a la información pública • Garantizar la protección de datos personales • Comisión Intersectorial para el Desarrollo del Gobierno-e (28 de octubre de 2009)
Lineamientos de protección de datos de la LFTAIPG “
Atendiendo a la evolución que ha ocurrido de la noción tradicional de intimidad o vida privada limitada al derecho de impedir interferencias ajenas, o al derecho a ser dejado solo, hasta el derecho de mantener el control de la propia información y de determinar la forma de construcción de la propia esfera privada que el derecho a la protección de los datos personales se presenta como un elemento esencial para el libre desarrollo de la persona en las sociedades democráticas”.
“ a efectos de lograr un uso racional y ético de las tecnologías, en el concierto de las naciones se ha legislado en materia de protección de datos personales, por lo cual los individuos gozan de un nuevo derecho denominado a la autodeterminación informativa, como garantía del ciudadano en las modernas sociedades frente al desafío del tratamiento electrónico de sus datos, entendida la garantía como la facultad del individuo de decidir quién, cuándo y bajo qué circunstancias utiliza sus datos personales, tanto en el sector público como en el privado.
Lineamientos de PDP “en nuestro país, fue voluntad del legislador plasmar en la Constitución Política de los Estados Unidos Mexicanos el derecho a la
vida privada
también denominada por la doctrina
intimidad,
como límite a la intromisión del Estado en el ámbito de la persona, al plasmar en su artículo 16 que: “nadie puede ser molestado
en su persona, familia, domicilio, papeles o posesiones
, sino en virtud de mandamiento escrito de la autoridad competente, que funde y motive la causa legal del procedimiento”, por lo que el derecho a la intimidad tiene dos facetas principales: una que tutela la inviolabilidad del hogar, de las comunicaciones y de las relaciones familiares, y otra que consagra el derecho del individuo a desarrollarse libremente como tal”
Lineamientos de PDP
“Reconociendo que a nivel internacional se configura la existencia del derecho humano a la vida privada, por el cual: “ninguna persona puede ser objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación, gozando del derecho a la protección de la ley contra tales injerencias o ataques”. Lo anterior se establece en los siguientes instrumentos internacionales, los cuales por virtud del artículo 133 Constitucional constituyen Ley Suprema de la la Unión: la Declaración Universal de los Derechos Humanos –artículo 12-; el Pacto Internacional de Derechos Civiles y Políticos -artículo 17-; la Declaración Americana de los Derechos y Deberes del Hombre -artículo V-; Convención Americana sobre Derechos Humanos -artículo 11-, y la Convención sobre los Derechos del Niño -artículo 16-; Recordando que en el marco jurídico vigente en México existen diversas disposiciones que regulan las consecuencias de los ataques o invasiones a la vida privada de las personas en el orden administrativo, civil, penal y de responsabilidad patrimonial del Estado, por lo que existe un acervo jurídico que brinda privada; ” protección al individuo frente a injerencias ilegales en su vida
Lineamientos de PDP
“Reconociendo que a nivel internacional se configura la existencia del derecho humano a la vida privada, por el cual: “ninguna persona puede ser objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación, gozando del derecho a la protección de la ley contra tales injerencias o ataques”. Lo anterior se establece en los siguientes instrumentos internacionales, los cuales por virtud del artículo 133 Constitucional constituyen Ley Suprema de la la Unión: la Declaración Universal de los Derechos Humanos –artículo 12-; el Pacto Internacional de Derechos Civiles y Políticos -artículo 17-; la Declaración Americana de los Derechos y Deberes del Hombre -artículo V-; Convención Americana sobre Derechos Humanos -artículo 11-, y la Convención sobre los Derechos del Niño -artículo 16-; Recordando que en el marco jurídico vigente en México existen diversas disposiciones que regulan las consecuencias de los ataques o invasiones a la vida privada de las personas en el orden administrativo, civil, penal y de responsabilidad patrimonial del Estado, por lo que existe un acervo jurídico que brinda privada; ” protección al individuo frente a injerencias ilegales en su vida
Lineamientos de PDP
“(…)una mala utilización de las herramientas tecnológicas puede convertirse en un factor de amenaza a la privacidad y seguridad de las personas al permitir que se generen formas de exclusión o condiciones de incertidumbre y riesgo , ya que las nuevas tecnologías facilitan ilimitadas posibilidades para mover un gran volumen de información y de interrelacionarla, de manera que se constituyen perfiles que pueden limitar la libertad o condicionar el modo de actuar de las personas; Reconociendo que como consecuencia de lo anterior, y a efecto de lograr un uso racional y ético de las tecnologías, en el concierto de las naciones se ha legislado en materia de protección de datos personales, por lo cual los individuos gozan de un nuevo derecho denominado a la autodeterminación informativa , como garantía del ciudadano en las modernas sociedades frente al desafío del tratamiento electrónico de sus datos, entendida la garantía como la facultad del individuo de decidir quién, cuándo y bajo qué circunstancias utiliza sus datos personales, tanto en el sector público como en el privado”
Lineamientos de PDP
Atendiendo a la evolución que ha ocurrido de la noción tradicional de intimidad o vida privada limitada al derecho de impedir interferencias ajenas, o al derecho a ser dejado solo, hasta el derecho de mantener el control de la propia información y de determinar la forma de construcción de la propia esfera privada , por lo que el derecho a la protección de los datos personales se presenta como un elemento esencial para el libre desarrollo de la persona en las sociedades democráticas ;
Lineamientos de PDP
Elementos de los datos personales Segundo.
A efecto de determinar si la información que posee una dependencia o entidad constituye un dato personal, deberán agotarse las siguientes condiciones:
1)
Que la misma sea concerniente a una persona física, identificada o identificable, y
2)
Que la información se encuentre contenida en sus archivos.
Definiciones en los Lineamientos de PDP
I. Destinatario:
Cualquier persona recibe datos personales.
física o moral pública o privada que
II. Encargado:
El servidor público o cualquier otra persona física o moral facultado por un instrumento jurídico o expresamente autorizado por el Responsable para llevar a cabo el tratamiento físico o automatizado de los datos personales.
III. Sistema
Instituto para mantener actualizado el listado de los sistemas de datos personales que posean las dependencias y entidades para registrar e informar sobre las transmisiones, modificaciones y cancelaciones de los mismos.
“Persona”:
Aplicación informática desarrollada por el
IV. Responsable:
tratamiento El servidor público titular de la unidad administrativa designado por el titular de la dependencia o entidad, que decide sobre el físico o automatizado de datos personales, así como el contenido y finalidad de los sistemas de datos personales.
V. Titular de los datos:
Persona física a quien se refieren los datos personales que sean objeto de tratamiento.
Definiciones en los Lineamientos de PDP
VI. Transmisión:
permita.
Toda entrega total o parcial de sistemas de datos personales realizada por las dependencias y entidades a cualquier persona distinta al Titular de los datos, mediante el uso de medios físicos o electrónicos tales como la interconexión de computadoras, interconexión de bases de datos, acceso a redes de telecomunicación, así como a través de la utilización de cualquier otra tecnología que lo
VII. Transmisor:
Dependencia o entidad que posee los datos personales objeto de la transmisión.
VIII. Tratamiento:
Operaciones y procedimientos físicos o automatizados que permitan recabar, registrar, reproducir, conservar, organizar, modificar, transmitir y cancelar datos personales.
IX. Usuario:
Servidor público facultado por un instrumento jurídico o expresamente autorizado por el Responsable que utiliza de manera cotidiana datos personales para el ejercicio de sus atribuciones, por lo que accede a los sistemas de datos personales, sin posibilidad de agregar o modificar su contenido.
Definiciones en los Lineamientos de PDP
Sistema de datos personales Cuarto.
Un Sistema de datos personales constituye el conjunto ordenado de datos personales que estén en posesión de una dependencia o entidad, con independencia de su forma de acceso, creación, almacenamiento u organización.
Los sistemas de datos personales podrán distinguirse entre físicos y automatizados, definiéndose cada uno de ellos de la siguiente forma:
a)
Físicos: Conjunto ordenado de datos que para su tratamiento en registros manuales, impresos, sonoros, están contenidos magnéticos, visuales u holográficos.
b)
o Automatizados: Conjunto ordenado de datos que para su tratamiento han sido están sujetos a un tratamiento informático y que por ende requieren de una herramienta tecnológica específica para su acceso, recuperación o tratamiento.
Disociación de datos Vigésimo.
La disociación consiste en el procedimiento por el cual los datos personales no pueden asociarse al Titular de éstos, ni permitir por su estructura, contenido o grado de desagregación, la identificación individual del mismo.
El tratamiento de datos personales para fines mediante la estadísticos deberá efectuarse disociación de los datos, de conformidad con la Ley de Información Estadística y Geográfica, así como las demás disposiciones aplicables.
Principios en los Lineamientos de PDP
Licitud Calidad acceso y corrección Información Seguridad Custodia consentimiento para su transmisión
Licitud (Lineamientos de PDP) La posesión de sistemas de datos personales deberá obedecer exclusivamente a las atribuciones legales o reglamentarias de cada dependencia o entidad y deberán obtenerse a través de los medios previstos en dichas disposiciones.
Los datos personales deberán tratarse para la finalidad para la cual fueron obtenidos. Dicha finalidad debe ser determinada y legítima .
únicamente
Calidad (Lineamientos de PDP) El tratamiento de datos personales deberá ser exacto, adecuado, pertinente y no excesivo, respecto de las atribuciones legales de la dependencia o entidad que los posea
Calidad (Lineamientos de PDP)
Decimotercero.
A efecto de cumplir con el principio de calidad a que se refiere el Lineamiento Séptimo, se considera que el tratamiento de datos personales es:
a)
Exacto: Cuando los datos personales se mantienen actualizados de manera tal que no altere la veracidad de la información que traiga como consecuencia que el Titular de los datos se vea afectado por dicha situación;
b)
Adecuado: Cuando se observan las medidas de seguridad aplicables;
c)
Pertinente: Cuando es realizado por el personal autorizado para el cumplimiento de las atribuciones de las dependencias y entidades que los hayan recabado, y
d)
No excesivo: Cuando la información solicitada al Titular de los datos es estrictamente la necesaria para cumplir con los fines para los cuales se hubieran recabado.
Calidad/Corrección de oficio (Lineamientos de PDP) En caso de que los Responsables, Encargados o Usuarios detecten que hay datos personales inexactos, deberán de oficio, actualizarlos en el momento en que tengan conocimiento de la inexactitud de los mismos, siempre que posean los documentos que justifiquen la actualización .
Acceso y corrección (Lineamientos de PDP) Octavo: Los sistemas de datos personales deberán almacenarse de forma tal que permitan el ejercicio de los derechos de acceso y corrección previstos por la Ley, el Ar Reglamento y los Lineamientos emitidos por el Instituto .
Inforamción (Lineamientos de PDP)
Noveno.
Se deberá hacer del conocimiento del Titular de los datos, al momento de recabarlos y de forma escrita, el fundamento y motivo de ello, así como los propósitos para los cuales se tratarán dichos datos.
En el momento en que se recaben datos personales, la dependencia o entidad deberá hacer del conocimiento al Titular de los datos tanto en los formatos físicos como en los electrónicos utilizados para ese fin, lo siguiente:
a)
La mención de que los datos recabados serán protegidos en términos de lo dispuesto por la Ley;
b)
El fundamento legal para ello, y
c)
La finalidad del Sistema de datos personales.
Información (Lineamientos de PDP)
Decimoctavo.
Sin perjuicio de que las dependencias y entidades elaboren sus propios formatos para informar al Titular de los datos lo establecido por el Lineamiento anterior, podrán utilizar el siguiente modelo:
Los datos personales recabados Información Pública ( serán protegidos y serán incorporados y tratados en el Sistema de datos personales (indicar nombre), con fundamento en (indicar ) y cuya finalidad es (describirla), el cual fue registrado en el Listado de sistemas de datos personales ante el Instituto Federal de Acceso a la www.ifai.org.mx
), y podrán ser transmitidos a (indicar ), con la finalidad de (indicar ), La Unidad Administrativa responsable del Sistema de datos personales es (indicarlo), y la además de otras transmisiones previstas en la Ley.
dirección donde el interesado podrá ejercer los derechos de acceso y corrección ante la misma es (indicarla). Lo anterior se informa en cumplimiento del Decimoséptimo de los Lineamientos de Protección de Datos Personales, publicados en el Diario Oficial de la Federación (incluir fecha).
Decimonoveno.
Las dependencias y entidades que recaben datos personales a través de un servicio de orientación telefónica, u otros medios o sistemas, deberán establecer un mecanismo por el que se informe previamente a los particulares que sus datos personales serán recabados, la finalidad de dicho acto así como el tratamiento al cual serán sometidos, cumpliendo con lo establecido en el Decimoséptimo de los presentes Lineamientos
Seguridad (Lineamientos de PDP) Se deberán adoptar las medidas necesarias para garantizar la integridad, confiabilidad, confidencialidad y disponibilidad de los datos personales mediante acciones que eviten su alteración, pérdida, transmisión y acceso no autorizado .
Capítulo V
De la Seguridad de los Sistemas de Datos Personales
Cuidado y custodia (Lineamientos de PDP) Los datos personales serán debidamente custodiados y los Responsables, Encargados y Usuarios deberán garantizar el manejo cuidadoso en su tratamiento
Decimosexto.
Los datos personales sólo podrán ser tratados en sistemas de datos personales que reúnan las condiciones de seguridad establecidas en los presentes Lineamientos y las demás disposiciones aplicables.
Consentimiento para transmisión (Lineamientos) Toda transmisión de datos personales deberá contar con el consentimiento del Titular de los datos, mismo que deberá otorgarse en forma libre, expresa e informada, salvo lo dispuesto en el Lineamiento Vigésimo segundo.
Consentimiento para transmisión (Lineamientos)
Vigésimo segundo.
personales sin el consentimiento del Titular de los datos, en los casos previstos en el artículo 22 de la Ley. Asimismo, deberán otorgar acceso a aquellos datos que no se consideran como confidenciales por ubicarse en los supuestos establecidos por sus artículos 7, 12 y 18 último párrafo.
Vigésimo tercero.
Las dependencias Para los efectos del y entidades podrán transmitir datos artículo 21 de la Ley, y en los casos no previstos por el artículo 22 de la Ley, las dependencias y entidades sólo podrán transmitir datos personales cuando:
a)
Así lo prevea de manera expresa una disposición legal, y
b)
Medie el consentimiento expreso de los titulares.
Vigésimo cuarto.
mismos Para la transmisión de los datos, el consentimiento del Titular de los deberá otorgarse por escrito incluyendo la firma autógrafa y la copia de identificación oficial, o bien a través de un medio de autenticación. En su caso, las dependencias y entidades deberán cumplir con las disposiciones aplicables en materia de certificados digitales y/o firmas electrónicas.
El servidor para la público encargado de recabar el consentimiento del Titular de los datos transmisión de los mismos, deberá entregar a éste, en forma previa a cada transmisión, la información suficiente acerca de las implicaciones de otorgar, de ser el caso, su consentimiento.
Consentimiento para transmisión (Lineamientos)
Informes sobre la transmisión Vigésimo quinto.
Las transmisiones totales o parciales de sistemas de datos personales que realicen las dependencias y entidades en el ejercicio de sus atribuciones, deberán ser notificadas por el Responsable al Instituto en los términos establecidos por el Cuadragésimo de los presentes Lineamientos.
Requisitos del Informe Vigésimo sexto.
El informe a que hace referencia el Lineamiento anterior deberá contener al menos, lo siguiente:
I.
Identificación del Sistema de datos personales, del transmisor y del destinatario de los datos;
II.
Finalidad de la transmisión; así como el tipo de datos que son objeto de la transmisión;
III.
Las medidas de seguridad y custodia que adoptaron o fueron adoptadas por el transmisor y destinatario;
IV.
Plazo por el que conservará el destinatario los datos que le hayan sido transmitidos, el cual podrá ser ampliado mediante aviso al Instituto, y
V.
Señalar si una vez concluidos los propósitos de la transmisión, los datos personales deberán ser destruidos o devueltos al transmisor, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto de la transmisión.
Conservación (Lineamientos de PDP) Los datos personales que hayan sido objeto de tratamiento y no contengan valores históricos, científicos, estadísticos o contables, deberán ser dados de baja por las dependencias y entidades, o bien, los que contengan dichos valores objeto de transferencias secundarias, de conformidad con lo establecido por los catálogos de disposición documental a que se refieren los Lineamientos Generales para la conservación de archivos de las Dependencias y Entidades de la Administración Pública Federal, teniendo en cuenta los siguientes plazos: serán organización y
a)
El que se haya establecido en el formato electrónico por el cual se recabaron; físico o
b)
El establecido por las disposiciones aplicables; c)El establecido en los convenios formalizados entre una persona y la dependencia o entidad, y d)El señalado en los casos de transmisión
Sistema Persona (Lineamientos de PDP)
Trigésimo noveno.
Para dar cumplimiento a lo dispuesto por el artículo 23 de la Ley, el Instituto pondrá a disposición de las dependencias y entidades el Sistema “Persona”.
Cuadragésimo.
diez Los Responsables deberán registrar e informar al Instituto, dentro de los primeros días hábiles de enero y julio de cada año, lo siguiente:
a) b)
Los sistemas de datos personales; Cualquier modificación sustancial o cancelación de dichos sistemas, y
c)
Cualquier transmisión de sistemas de datos personales de conformidad a lo dispuesto por los Lineamientos Vigésimo quinto y Vigésimo sexto de los presentes Lineamientos.
Cuadragésimo primero.
siguientes datos: El registro de cada Sistema de datos personales deberá contener, los
a)
Nombre del sistema;
b) c)
Unidad administrativa en la que se encuentra el sistema; Nombre del responsable del sistema;
d) e) f)
Cargo del Responsable; Teléfono y correo electrónico del Responsable; Finalidad del sistema, y
g)
Normatividad aplicable al sistema.
El Instituto registrado.
otorgará al Responsable un folio de identificación por cada Sistema de datos personales
Cuadragésimo segundo.
sitios de Internet al Sistema Las dependencias y entidades deberán establecer un vínculo en sus “Persona”, a efecto de dar cumplimiento a lo establecido en los artículos 48 y Sexto transitorio del Reglamento de la Ley.
Del Instituto (Lineamientos de PDP)
Cuadragésimo tercero.
los servidores por Las dependencias y entidades deberán permitir a públicos del Instituto o a terceros previamente designados éste, el acceso a los lugares en los que se encuentran y operan los sistemas de datos personales, así como poner a su disposición la documentación técnica y administrativa de los mismos, a fin de supervisar que se cumpla con la Ley, su Reglamento y los presentes Lineamientos.
Irregularidades
.
Cuadragésimo cuarto.
servidor En caso de que el Instituto determine que algún público pudo haber incurrido en responsabilidades por el incumplimiento de los presentes Lineamientos, lo lo conducente, con base en el hará del conocimiento del Organo Interno de Control correspondiente, a efecto de que determine capítulo de Responsabilidades y Sanciones establecido en el Título IV de la Ley, así como en la Ley Federal de Responsabilidades Administrativas de los Servidores Públicos.
Sentencia del Tribunal Constitucional español 292/2000, de 30 de noviembre
” el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado (...) atribuye a su titular un haz de facultades consistente en diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos, que no se contienen en el derecho fundamental a la intimidad, y que sirven a la capital función que desempeña este derecho fundamental: garantizar a la persona un poder de control sobre sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer.”
PRECEDENTES NORMATIVOS
•El artículo 12 de la Declaración Universal de los Derechos Humanos de 1948 •El artículo 8 del Convenio Europeo para la Protección de los Derechos y las Libertades Fundamentales, de 1950.
•El artículo 17 del Pacto Internacional de Derechos Civiles y Políticos, de 1966 •La Resolución 509 de la Asamblea del Consejo de Europa sobre derechos humanos y nuevos logros científicos y técnicos de 1968 •La Convención Americana sobre derechos humanos de 1969 La polémica Constitución europea (artículo I-51 dedicado al derecho a la protección de datos personales
PRECEDENTES NORMATIVOS
•Los ampliamente aceptados
fair information practice principles (
Información
(Notice)
, Elección
(Choice)
, Acceso
(Access)
y Seguridad
(Security))
desarrollados por e l Departamento de Sanidad, Educación y Bienestar de los Estados Unidos en 1973 •Las Resoluciones del Comité de Ministros de 1973 y 1974 •El Convenio 108 del Consejo de Europa, para la protección de las personas con relación al tratamiento automatizado de los datos de carácter personal y a la libre circulación de estos datos de 28 de enero de 1981 •La Directiva 95/46/CE
PRECEDENTES NORMATIVOS
•El mosaico de leyes federales y estatales que protegen ciertos sectores en Estados Unidos, además de la denominada “autorregulación industrial” •La Directiva 2002/58 en el sector de las comunicaciones electrónicas •La Directiva 2006/24/CE de retención de datos de comunicaciones electrónicas •La Carta Europea de Derechos Fundamentales (artículo 8) La Constitución europea (artículo I-51) dedicado al derecho a la protección de datos personales
REFERENCIAS INTERNACIONALES
LINEAMIENTOS DE LA OCDE SOBRE PROTECCIÓN DE LA PRIVACIDAD Y FLUJOS TRANSFONTERIZOS DE DATOS También establecen principios relativos a las legislaciones nacionales: calidad, exactitud, garantías mínimas que deben prever las especificación de la finalidad, límite de obtención, acceso, seguridad, límite de uso .
Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio, relativa al tratamiento de los datos personales y a la de las comunicaciones protección de la intimidad en el sector electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (D.O. L 201, 31/7/2002).
C onsejo de Europa. Convenio (108) del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal Carta de los derechos fundamentales de la Unión Europea de 7 de diciembre de 2000 (2000/C 364/01), Artículo 8, “ Protección de datos de carácter personal: Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. Estos datos se tratarán de modo leal, para fines determinados y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su normas rectificación. El respeto de estas quedará sujeto al control de una autoridad independiente”.
REFERENCIAS INTERNACIONALES
DECLARACIÓN UNIVERSAL DE DERECHOS HUMANOS 10/12/1948 , Artículo 12 “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.” CONVENCIÓN AMERICANA SOBRE DERECHOS HUMANOS RATIFICADA POR MÉXICO EN 1981, Artículo 11, “Toda persona tiene derecho al respeto de su honra y al reconocimiento de su dignidad.
Nadie puede ser objeto de injerencias abusivas o arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o esos ataques.
” Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (D.O. L 281, 23/11/1995).
RESOLUCIÓN 45/95 DE LA ASAMBLEA GENERAL DE NACIONES UNIDAS POR LA QUE SE ESTABLECEN LAS DIRECTRICES DE PROTECCIÓN DE DATOS Establece los principios relativos a las garantías mínimas que deben prever las legislaciones nacionales: legalidad y lealtad, exactitud, especificación de la finalidad, acceso, no discriminación, seguridad, flujo transfonterizo de datos.
ESTRATEGIA Y COMPROMISO POLÍTICOS
El actual Plan Nacional de Desarrollo 2007-2012 (presentado por el Presidente Calderón en cumplimiento al artículo 26 de la Constitución Política de los Estados Unidos Mexicanos), plantea entre sus estrategias “ Desarrollar el marco normativo que garantice que la información referente a la vida privada y a los datos personales estará protegida (…) es necesario el desarrollo de una Ley Federal (…) Dicha regulación deberá incluir los principios de protección de datos personales reconocidos por los tratados internacionales en la materia, que el Estado mexicano debe observar.
”
ESTRUCTURA DE LA NORMATIVA
PRINCIPIOS DERECHOS PROCEDIMIENTO/S
PRINCIPIOS DE LA PD
Calidad Información en la recogida de datos Consentimiento Datos especialmente protegidos Datos de salud Seguridad Deber de secreto Comunicación/cesión Prestación de servicios/acceso por terceros
DERECHOS DE LAS PERSONAS ACCESO MODIFICACIÓN Y SUPRESIÓN OPOSICIÓN OTROS: CONSULTA, INDEMNIZACIÓN...
NORMATIVA FEDERAL
Artículo 6º reformado Constitución Política de los Estados Mexicanos Artículos 16 y 73 reformados Constitución Política de los Estados Mexicanos Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (DOF 11/6/02) Reglamento de la Ley Federal Gubernamental (DOF 10/6/03) de Transparencia y Acceso a la Información Pública Lineamientos de Protección de Datos Personales (DOF de 30/9/05) Lineamientos que deberán observar las dependencias y entidades de la Administración Pública Federal para notificar al Instituto el listado de sus sistemas de datos personales (DOF 20/8/03) Lineamientos que deberán observar las dependencias y entidades de la Administración Pública Federal en la recepción, procesamiento, trámite, resolución y notificación de las solicitudes de acceso a datos personales que formulen los particulares, con exclusión de las solicitudes de corrección de dichos datos (DOF 25/8/05) Lineamientos que deberán observar las dependencias y entidades de la Administración Pública Federal, en la recepción, procesamiento, trámite, resolución y notificación de las solicitudes de corrección de datos personales que formulen los particulares (DOF 6/4/04)
REFORMAS E INICIATIVAS DE REFORMAS CONSTITUCIONALES
REFORMA ARTÍCULO 6º CONSTITUCIONAL
Antes de 20/7/2007 referencia constitucional en el artículo 16 de la Constitución Política de los Estados Unidos Mexicanos que establece que “nadie puede ser molestado en su persona, familia, domicilio, papeles o posesiones”.
Decreto por el que se adiciona un segundo párrafo con siete fracciones al Artículo Sexto de la Constitución Política de los Estados Unidos Mexicanos (DOF 20/7/2007 pág. 2 y 3-): referencia explícita a la protección de datos personales, si bien dentro del artículo destinado al derecho de acceso a la información.
“Artículo Único.- Se adiciona un segundo párrafo con siete fracciones al Artículo 6o. de la Constitución Política de los Estados Unidos Mexicanos, para quedar como sigue: Artículo 6o.- ... Para el ejercicio del derecho de acceso a la información, la Federación, los Estados y el Distrito Federal, en el ámbito de sus respectivas competencias, se regirán por los siguientes principios y bases: ( …) II. La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes. III. Toda persona, sin necesidad de acreditar interés alguno o justificar su utilización, tendrá acceso gratuito a la información pública, a sus datos personales o a la procedimientos de revisión expeditos. Estos procedimientos se sustanciarán ante órganos u organismos especializados e imparciales, y con autonomía operativa, de gestión y de decisión. VII. La inobservancia a las disposiciones en materia de acceso a la rectificación de éstos. IV. Se establecerán mecanismos de acceso a la información y información pública será sancionada en los términos que dispongan las leyes.
REFORMA ARTÍCULO 6º CONSTITUCIONAL
1.
En todo caso, alabamos la inclusión en el texto constitucional del absolutamente ya reconocido y establecido internacionalmente derecho a la protección de datos. Pero no podemos dejar de preocuparnos, como decíamos, ante la colocación de la referencia, como un límite al derecho de acceso a la información aparentemente.
Las interpretaciones siempre son peligrosas en Derecho, y nos inquieta que el legislador no profundice sobre el verdadero sentido de la protección de datos, de manera independiente.
2. El texto diferencia entre la vida privada y los datos personales decíamos supra los conceptos se interrelacionan. Lo que la normativa en protección de datos personales trata de proteger es . Como el tratamiento de la información personal por terceros, máxime en un entorno automatizado . El concepto de vida privada es más subjetivo, y depende de parámetros personales e individuales. La normativa gira en torno a cuestiones objetivas, donde el tratamiento de los datos personales, públicos o privados, tiene que seguir unas ciertas reglas. Sin embargo, lo que sí resulta en todo caso resaltable, como decíamos, es que se exige la protección
REFORMA ARTÍCULO 6º CONSTITUCIONAL
3.
El párrafo III puede parecer algo exagerado si no se analiza un poco más detenidamente. No se está otorgando nada que no se deba, salvo una precisión acerca de la gratuidad infinita que haremos a continuación. El titular tiene acceso a sus datos, porque son suyos.
El hecho de que no tenga que acreditar nada es porque accede a algo que le concierne a él mismo .
interés o justificar No obstante, en relación con la rectificación creemos que, de nuevo, el desarrollo legal posterior deberá concretar este extremo. .
caso, en un paso Es decir, no se tendrá que justificar la rectificación, o, en su más allá, la cancelación, si por justificar se refiere el texto a, coloquialmente, sutil “dar explicaciones”, pero sí tendrá el titular de los datos, aunque esta diferenciación parezca contradictoria, que probar, en la mayoría de los casos, de alguna manera dicha rectificación, aportando los datos pertinentes, adecuados y exactos.
4.
L a excesiva apertura, especialmente en lo relacionado a la obligatoria gratuidad (párrafo III) de dicho derecho puede ocasionar problemas indeseados en la práctica, ya sea por negligencia, o, incluso, aprovechamiento por parte del no siempre indefenso titular de los datos. No obstante, si en el desarrollo legal, o reglamentario, posterior, se circunscribe este extremo de una manera justa y equitativa que no impida el comercio preservando dichas garantías, diciendo, por ejemplo, que será gratuito en la primera ocasión y siempre que no se repita en un plazo adecuado, entonces no veríamos ningún problema.
REFORMA ARTÍCULO 6º CONSTITUCIONAL
5.
La concreción del extremo procedimental resulta indispensable. El único problema es que el párrafo expresamente sólo se refiere al acceso a la información. No obstante, en una labor exegética lo cierto es que podríamos entender que también se tendría que hacer en las mismas condiciones para el acceso a datos personales.
y expedito el derecho se Sin el establecimiento de un procedimiento adecuado quedaría vacío de contenido, al menos en parte . Es fundamental que se prevea una obrar y de autoridad independiente, con plena capacidad de decisión propias , que no tenga que estar sujeto a ningún poder en concreto, por lo menos en términos de sumisión. Hay que resaltar que la protección de datos es una materia que se introduce en todos los ámbitos de la sociedad en general. En la actualidad no existe actividad alguna que no requiera en algún momento del tratamiento de la información personal, y, por ende, no puede haber ningún ámbito que se sustraiga a la debida tutela.
6.
Las sanciones son imprescindibles , máxime en una materia como la que nos ocupa, de nueva derecho en introducción y gran desconocimiento, inclusive para el titular del sí. Sin unas adecuadas sanciones, severas pero proporcionadas al caso y las circunstancias, y un procedimiento eficaz y eficiente con una autoridad de tutela garantista, el derecho, como ya habíamos dicho, queda vacío de contenido, de fuerza y eficacia en la práctica.
REFORMA ART. 16 CONSTITUCIONAL La propuesta de la Comisión de Puntos Constitucionales de reforma del artículo 16 constitucional, conceptualmente engloba mucho más coherentemente la materia tratada que la anteriormente vista al artículo Sexto, como ella misma ya apunta al decir “el texto que se dictamina permitiría concluir el trabajo iniciado con la reciente reforma al artículo 6 de la CPEUM, ya que se reconoce el derecho de acceso a la información pública y por su parte el artículo 16 establecerá el derecho a la protección de datos personales, que, aunque mencionado en la fracción II del 6 ° se estaría dotando finalmente de contenido a este derecho fundamental”.
Asimismo señala como su propósito “consolidar el derecho a la protección de datos en nuestro país, extendiendo su ámbito de aplicación a todos los niveles y sectores, apuntalando, por una parte, la estructura edificada a través del artículo 6 fracción II de la Constitución Federal y de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, para los sistemas de datos personales en posesión de los entes públicos federales y, por la otra, reconociendo la existencia del mismo respecto de los datos personales en poder del sector privado”.
REFORMA ART. 16 CONSTITUCIONAL Aprobado por la cámara de Senadores y la de Diputados.
Artículo Único. Se adiciona un segundo y tercer párrafos recorriéndose los subsecuentes en su orden al artículo 16, de la Constitución Política de los Estados Unidos Mexicanos, para quedar como sigue: “ Toda persona tiene derecho a la personales, protección de sus datos así como al derecho de acceder a los mismos, y en su caso, obtener su en los rectificación, cancelación y manifestar su oposición términos que fijen las leyes. La Ley puede establecer supuestos de excepción a los principios que rigen el tratamiento de datos, por razones de seguridad nacional, de orden, seguridad y salud públicos o para proteger los derechos de tercero.”
REFORMA ART. 16 CONSTITUCIONAL La Cámara de Diputados hizo ajustes en la redacción y se regresó a Senado que tiene que pronunciarse sólo sobre los cambios, pues según el art 72 Constitución Federal , si un proyecto de ley o decreto es desechado en parte, o modificado, o adicionado por la Cámara revisora, la nueva discusión de la Cámara de su origen versará únicamente sobre lo desechado o sobre las reformas o adiciones, sin poder alterarse en manera alguna los artículos aprobados.
Luego la Cámara de origen, la de Senadores, s ólo puede analizar aquellos puntos sobre los que la Cámara de Diputados se pronunció modificando o adicionando (i.e., en ningún caso puede cambiar de ubicación el derecho al artículo 6º): 1. Primer párrafo: Sustitución de la palabra destrucción, por la de la expresión manifestar su oposición. 2. Segundo párrafo: cambio de ubicación de la palabra público para calificar a las palabras orden, seguridad y salud.
REFORMA ART. 16 CONSTITUCIONAL 1. La inclusión del reconocimiento independiente y autónomo del derecho en este artículo constitucional es mucho más pertinente y adecuada.
2.
“ toda persona” : el término persona da cabida, a menos de que posteriormente se circunscribiera, lo que parece difícil al venir así dispuesto en la norma constitucional, a las personas morales. 3.
“derecho a acceder a sus datos personales”: el ejercicio de los derechos, como señalábamos, es personalísimo, sólo puede ser por su titular o el representante del mismo en caso de incapacidad legal.4.
“en su caso, obtener su rectificación, cancelación”: l a atención a los derechos de rectificación y cancelación no implica necesariamente la concesión de los mismos.
El titular de los datos deberá justificar y probar con la documentación acreditativa pertinente dichos cambios, y, además, puede suceder que el responsable del archivo entienda que no procede dicha rectificación o cancelación.
REFORMA ART. 16 CONSTITUCIONAL 5.
“ manifestar su oposición”: la filosofía subyacente a este derecho, con claras aplicaciones al entorno publicitario, es la posible negación del titular en aquellos casos en los que no resulte necesario su consentimiento para el tratamiento de sus datos, y siempre que una Ley no disponga lo contrario, cuando existan motivos fundados y legítimos, y el responsable del archivo tendrá que proceder a la exclusión de los mismos.
6.
“Supuestos de excepción” : tal y como señala la iniciativa, hay dos finalidades importantes al recalcar la existencia de las excepciones: “dar certidumbre al gobernado respeto de los casos en los que será posible tratar sus datos sin que medie su consentimiento, desde el nivel constitucional” y “dejar claro que este derecho encuentra límites frente a otros, en los que previa valoración de las circunstancias particulares, el derecho a la protección de datos puede ceder frente a los mismos”.
REFORMA ART. 73 CONSTITUCIONAL La Iniciativa de la Comisión de Puntos Constitucionales de reforma del artículo 73 constitucional, asimismo aprobada por unanimidad por el Pleno de la Cámara de Diputados el 20 de septiembre de 2007, y en el Senado en la actualidad, tiene como finalidad “otorgarle la facultad exclusiva al Congreso de la de datos personales en Unión de legislar en materia de protección posesión de los particulares”.
Artículo Único.
Se adiciona la fracción XXIX-Ñ al artículo 73 de la Constitución Política de los Estados Unidos Mexicanos, para quedar como sigue: Artículo 73. El Congreso tiene facultad: XXIX-Ñ. Para legislar en materia de protección de datos personales en posesión de particulares.
Gaceta Parlamentaria Congreso de Diputados número 2339, miércoles 12 de septiembre de 2007.
http://gaceta.diputados.gob.mx/Gaceta/60/2007/sep/20070912-II.html#Dicta20070912Articulo73
REFORMA ART. 73 CONSTITUCIONAL La justificación de la reforma incide en que los datos se utilizan usualmente para llevar a cabo transacciones comerciales y dicha materia es competencia exclusiva federal.
En la actualidad el IFAI tiene competencia sobre los datos personales en poder de la APF, pero lo que la Iniciativa persigue es que los datos en posesión de los particulares, es decir, del Sector Privado, no puedan ser sometidos a legislaciones estatales, ya que se podría dar de facto lugar a desigualdades y situaciones de mercados de información personal.
NORMATIVAS ESTATALES
ESTADOS CON REGULACIÓN EN PD
COLIMA : Decreto Nº 356 se aprueba Ley de Protección de Datos Personales del Estado de Colima (LPD Colima), publicada en el Suplemento nº 1 del Periódico Oficial “El Estado de Colima” nº 27, 21 de junio de 2003.
GUANAJUATO: Decreto nº 266 por el que se aprueba la Ley de Protección de datos personales para el Estado y los municipios de Guanajuato , publicada en el Periódico Oficial número 80, segunda parte de 19 de mayo de 2006.
JALISCO : reforma de 18/09/04 a su Código Civil, insertando el Capítulo III “De la información privada” TLAXCALA : su ley de transparencia se aplica también al Sector Privado
ESTADOS CON REGULACIÓN EN PD
DISTRITO FEDERAL : Ley de Protección de Datos para el Distrito Federal (publicada en la Gaceta Oficial del Distrito Federal el 3 de octubre de 2008) COAHUILA: Ley de Acceso a la Información Pública y Protección de Datos Personales para el Estado de Coahuila (publicada en el Periódico Oficial de 2 de septiembre de 2008)
CONCLUSIONES
La protección de datos es una materia fundamental dentro del entorno de las consecuencias jurídicas del uso de las tecnologías de la información y las comunicaciones . En países de tradición legislativa debe añadirse al espectro regulatorio, estando éste incompleto sin contar con una normativa de este tipo. La protección de datos es un derecho fundamental internacionalmente reconocido. El individuo tiene derecho a decidir cuándo, cómo y quién va a tratar su información personal. En América Latina queda mucho trabajo por hacer en relación con la privacidad, pues la mayor parte de los países no tienen una regulación en la materia. Debe tenerse en cuenta, a este respecto, los principios y derechos que conforman la estructura de dichas leyes, procurando encontrar un equilibrio entre la protección individual y el desarrollo empresarial y comercial .
La existencia de un órgano de control deviene imprescindible, quedando su estructura y composición, así como su funcionamiento y facultades, necesitadas de concreción y ajuste al entorno socio cultural en concreto, siempre manteniéndose unos mínimos requisitos.
CONCLUSIONES
La reforma al artículo sexto constitucional , en lo relativo al derecho de acceso a la información, dedica unas importantes referencias a los datos de carácter personal. Si bien, como hemos repetido, resulta de alabar que dicha referencia se haga en un texto constitucional, en nuestra opinión, no debe hacerse exclusivamente como un límite al derecho de acceso a la información, ya que se trata de dos derechos fundamentales independientes entre sí, más complementarios que excluyentes, en su caso, y todavía adolece de algunas lagunas que hemos resumido en el presente trabajo, si bien reiterando, de nuevo, nuestra complacencia acerca de la referencia constitucional.
La reforma al artículo 16 es en nuestra opinión mucho más pertinente y adecuada, puesto que concede a la protección de datos de carácter personal el lugar independiente y autónomo que le corresponde, sin situarle como límite a otro derecho, aunque con algunas consideraciones al respecto realizadas anteriormente.
La reforma constitucional al artículo 73 busca unificar la legislación sobre el Sector Privado en la materia, objetivo en nuestra opinión muy deseable para evitar consecuencias no queridas sobre los distintos mercados territoriales de información personal.