El Pleno de la Suprema Corte de Justicia de la Nación (SCJN) reiteró el criterio establecido en una acción de inconstitucionalidad vinculada al Estado de Michoacán, al validar los artículos de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados de Sinaloa, donde se prevén casos en los cuales, por razones de seguridad nacional, se limita el derecho a la protección de datos personales, al no requerir el consentimiento del titular de estos, para que las instituciones públicas del Estado puedan transferirlos.
La SCJN también validó la parte de esta ley donde se establece que el ejercicio de los derechos ARCO –derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales– no será procedente cuando los datos personales sean parte de la información que las entidades sujetas a la regulación y supervisión financiera del sujeto obligado hayan proporcionado a éste, en cumplimiento a requerimientos de dicha información sobre sus operaciones, organización y actividades.
El Pleno consideró que el congreso local de Sinaloa, al expedir las normas controvertidas, no legisló sobre las materias financiera o económica, que se encuentran reservadas al Congreso de la Unión, sino que para cumplir con el objetivo de unificar las condiciones para garantizar el ejercicio de los derechos de acceso a la información y protección de datos personales, solo reprodujo las bases previstas en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
Además, la SCJN validó el artículo 123, primer párrafo, en el que se especifica que es necesario identificar al promovente, así toda promoción del recurso de revisión en materia de derechos ARCO, deberá́ contener la firma autógrafa o electrónica avanzada de quien la formule.
No obstante, la SCJN invalidó el artículo 138, fracción II de ley analizada, donde se establecía que el titular de los datos personales debería acompañar a su escrito “La copia de la solicitud a través de la cual ejerció́ sus derechos ARCO o de portabilidad de los datos personales y que fue presentada ante el responsable y los documentos anexos a la misma, con su correspondiente acuse de recepción”, por considerarlo un requisito adicional a los previstos en la ley general de la materia, que iba en contra de los derechos ARCO.
Finalmente, la SCJN invalidó el artículo 175, primer párrafo, en lo correspondiente al plazo establecido para la verificación de datos personales, toda vez que era mayor que, por lo tanto contrario, al señalado por la Ley General. La Ley de Protección de Datos Personales en Posesión de Sujetos Obligados de Sinaloa no consideraba en el plazo máximo de los 50 días, la emisión de la resolución por parte de la Comisión Estatal para el Acceso a la Información Pública.
